DMZ+JAIL

tisugol · Непрочитанное сообщение **tisugol** » 2012-04-15 12:33:30

Есть FBSD9 + 2 ифейса
dc0 - интернет по dhcp
msk0 - локальная сеть 10.10.10.10/24

Провайдер выделяет один внешний ip, второй получить невозможно.
Есть необходимость поднять jail и вынести туда частично httpd (пару сайтов). Доступ из локальной сети к ним не требуется.

В самом просто варианте - поднимается jail, выделяется ip из внутреннего диапазона, на самом сервере в httpd настраивается mod_proxy для проброса на jail, но в случае взлома jail "нехорошие люди" - получают возможность действий изнутри сети.
Отсюда возникает мысль создать на dc0 alias 192.168.1.1 (нет ли противоречия стандартам?) и уже его присвоить jail с последующей настройкой pf и mod_proxy?
Второй вариант предпочтителен? Видите ли вы какие нибудь подводные камни?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

sudo · Непрочитанное сообщение **sudo** » 2012-08-20 20:00:04

Код: Выделить всё

%ifconfig
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
	ether 00:1f:c6:23:18:9f
	inet 172.17.2.120 netmask 0xffff0000 broadcast 172.17.255.255
	inet6 fe80::21f:c6ff:fe23:189f%bge0 prefixlen 64 scopeid 0x1 
	nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
	media: Ethernet autoselect (1000baseT <full-duplex>)
	status: active
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
	ether 00:1f:c6:23:19:49
	inet 192.168.0.110 netmask 0xffffff00 broadcast 192.168.0.255
	inet6 fe80::21f:c6ff:fe23:1949%bge1 prefixlen 64 scopeid 0x2 
	inet 192.168.0.120 netmask 0xffffff00 broadcast 192.168.0.255
	inet 192.168.0.130 netmask 0xffffff00 broadcast 192.168.0.255
	inet 192.168.0.140 netmask 0xffffff00 broadcast 192.168.0.255
	nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=3<RXCSUM,TXCSUM>
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6 
	inet 127.0.0.1 netmask 0xff000000 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
%su
Password:
crypto# ezjail-admin console httpd

httpd# ifconfig
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
	ether 00:1f:c6:23:18:9f
ifconfig: socket(AF_INET6, SOCK_DGRAM): Protocol not supported
	media: Ethernet autoselect (1000baseT <full-duplex>)
	status: active
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
	ether 00:1f:c6:23:19:49
	inet 192.168.0.130 netmask 0xffffff00 broadcast 192.168.0.255
ifconfig: socket(AF_INET6, SOCK_DGRAM): Protocol not supported
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=3<RXCSUM,TXCSUM>
ifconfig: socket(AF_INET6, SOCK_DGRAM): Protocol not supported

А в чем проблема то ?

forum.lissyara.su

DMZ+JAIL

DMZ+JAIL

Услуги хостинговой компании Host-Food.ru

Re: DMZ+JAIL

Re: DMZ+JAIL